标准2025在美国联邦调查局(FBI) 警告说美国超过一半的由美国食品药品管理局 (FDA) 批准的数字医疗设备将面临网络攻击的风险后,FDA发布了新指南。FDA 将要求制造商提供证据,证明他们的产品在抵御网络攻击方面相当安全,并提交方案用于监控、识别和解决任何漏洞。
医疗设备可能会受到恶意行为者的破坏,从而危及患者的生命。虽然没有直接攻击医疗设备的报告,但美国大约一半的医院都成为勒索软件的目标,这可能会影响患者的治疗。
根据 Check Point Research 的数据,到 2022 年,针对全球医疗组织的网络攻击增加了74% 。
2021年的一项研究发现,四分之一的受访医院在遭受勒索软件攻击后死亡率有所上升。来自 CyberPeace Institute 的数据表明,对医疗系统的网络攻击会导致患者治疗平均中断19 天。
IEC 制定的网络安全标准有助于确保医疗设备的网络安全并保护患者安全。例如,IEC TR 60601-4-5:2021提供了详细指导使IEC 62443更符合医疗行业特定的需求。
IEC 62443 最初是为工业过程部门开发的,但现在用于所有网络物理环境。
IEC TR 60601-4-5 为连接到医院 IT 网络的医疗电气设备和系统提供了安全规范。其中包括 IEC TS 62443-1-1 中规定的七项基本要求:识别和认证控制;使用控制;系统完整性;资料保密;受限数据流:及时响应事件;和资源可用性。
该报告定义了四个安全级别以及设备达到特定级别所需的技术能力。它特别引用了IEC 62443-4-2中规定的 IT 网络组件的安全级别要求,任何使用该报告的人都需要阅读。
除了 IEC 62443-2-4、IEC 62443-3和IEC 62443-4-1之外,IECEE的工业网络安全计划《IEC 电工设备及组件的合格评定方案系统》为证明符合IEC 62443-4-2标准提供证书。
报告中包含的另一个关键标准是 IEC 80001,它提供了与在网络环境中使用医疗设备相关的风险管理指南。IEC 80001 定义了涵盖联网医疗设备从设计和开发到退役的整个生命周期的风险管理流程。
该标准侧重于识别和减轻与联网医疗设备相关的潜在风险,包括网络安全威胁和设备之间的通信故障。
建议使用联网医疗设备的医疗机构和医疗设备制造商 采用IEC 80001。它还可以帮助组织满足与医疗设备安全和保障相关的法规要求。